vpn协议标准Word文档下载推荐.docx
《vpn协议标准Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《vpn协议标准Word文档下载推荐.docx(6页珍藏版)》请在冰豆网上搜索。
pptp支持通过公共网络(例如internet)建立按需的、多协议的、虚拟专用网络。
pptp允许加密ip通讯,然后在要跨越公司ip网络或公共ip网络(如internet)发送的ip头中对其进行封装。
l2tp第2层隧道协议(l2tp)是ietF基于l2F(cisco的第二层转发协议)开发的pptp的后续版本。
是一种工业标准internet隧道协议,其可以为跨越面向数据包的媒体发送点到点协议(ppp)框架提供封装。
pptp和l2tp都使用ppp协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。
pptp只能在两端点间建立单一隧道。
l2tp支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。
l2tp可以提供隧道验证,而pptp则不支持隧道验证。
但是当l2tp或pptp与ipsec共同使用时,可以由ipsec提供隧道验证,不需要在第2层协议上验证隧道使用l2tp。
pptp要求互联网络为ip网络。
l2tp只要求隧道媒介提供面向数据包的点对点的连接,l2tp可以在ip(使用udp),桢中继永久虚拟电路(pVcs),x.25虚拟电路(Vcs)或atmVcs网络上使用。
ipsec隧道模式隧道是封装、路由与解封装的整个过程。
隧道将原始数据包隐藏(或封装)在新的数据包内部。
该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。
隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。
封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。
隧道本身是封装数据经过的逻辑数据路径,对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。
连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。
将隧道和数据保密性结合使用时,可用于提供Vpn。
封装的数据包在网络中的隧道内部传输。
在此示例中,该网络是internet。
网关可以是外部internet与专用网络间的周界网关。
周界网关可以是路由器、防火墙、代理服务器或其他安全网关。
另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。
当以隧道模式使用ipsec时,其只为ip通讯提供封装。
使用ipsec隧道模式主要是为了与其他不支持ipsec上的l2tp或pptpVpn隧道技术的路由器、网关或终端系统之间的相互操作。
sslVpnsslVpn,ssl协议提供了数据私密性、端点验证、信息完整性等特性。
ssl协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。
握手协议允许服务器和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。
在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。
ssl独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。
ssl置身于网络结构体系的传输层和应用层之间。
此外,ssl本身就被几乎所有的web浏览器支持。
这意味着客户端不需要为了支持ssl连接安装额外的软件。
这两个特征就是ssl能应用于Vpn的关键点。
典型的sslVpn应用如openVpn,是一个比较好的开源软件。
我们的产品提供了pptp和openVpn两种应用,pptp主要为那些经常外出移动或家庭办公的用户考虑;
而openVpn主要是针对企业异地两地总分公司之间的Vpn不间断按需连接,例如eRp在企业中的应用。
openVpn允许参与建立Vpn的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。
它大量使用了openssl加密库,以及sslv3/tlsv1协议。
openVpn能在linux、xbsd、macosx与windows2000/xp上运行。
它并不是一个基于web的Vpn软件,也不与ipsec及其他Vpn软件包兼容。
隧道加密
openVpn使用openssl库加密数据与控制信息:
它使用了opesssl的加密以及验证功能,意味着,它能够使用任何openssl支持的算法。
它提供了可选的数据包hmac功能以提高连接的安全性。
此外,openssl的硬件加速也能提高它的性能。
验证
openVpn提供了多种身份验证方式,用以确认参与连接双方的身份,包括:
预享私钥,第三方证书以及用户名/密码组合。
预享密钥最为简单,但同时它只能用于建立点对点的Vpn;
基于pki的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个pki证书体系。
openVpn2.0后引入了用户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍有一份服务器证书需要被用作加密.
网络
openVpn所有的通信都基于一个单一的ip端口,默认且推荐使用udp协议通讯,同时tcp也被支持。
openVpn连接能通过大多数的代理服务器,并且能
够在nat的环境中很好地工作。
服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:
ip地址、路由设置等。
openVpn提供了两种虚拟网络接口:
通用tun/tap驱动,通过它们,可以建立三层ip隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。
传送的数据可通过lzo算法压缩。
iana(internetassignednumbersauthority)指定给openVpn的官方端口为1194。
openVpn2.0以后版本每个进程可以同时管理数个并发的隧道。
openVpn使用通用网络协议(tcp与udp)的特点使它成为ipsec等协议的理想替代,尤其是在isp(internetserviceprovider)过滤某些特定Vpn协议的情况下。
在选择协议时候,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择tcp协议作为底层协议,udp协议由于存在无连接和重传机制,导致要隧道上层的协议进行重传,效率非常低下。
安全
openVpn与生俱来便具备了许多安全特性:
它在用户空间运行,无须对内核及网络协议栈作修改;
初始完毕后以chroot方式运行,放弃root权限;
使用mlockall以防止敏感数据交换到磁盘。
openVpn通过pkcs#11支持硬件加密标识,如智能卡。
l2tp(layertwotunnelingprotocol,第二层通道协议)是Vpdn(虚拟专用拨号网络)技术的一种,专门用来进行第二层数据的通道传送,即将第二层数据单元,如点到点协议(ppp)数据单元,封装在ip或udp载荷内,以顺利通过包交换网络(如internet),抵达目的地(vpn协议标准)。
l2tp提供了一种远程接入访问控制的手段,其典型的应用场景是:
某公司员工通过ppp拨入公司本地的网络访问服务器(nas),以此接入公司内部网络,获取ip地址并访问相应权限的网络资源该员工出差到外地,此时他想如同在公司本地一样以内网ip地址接入内部网络,操作相应网络资源,他的做法是向当地isp申请l2tp服务,首先拨入当地isp,请求isp与公司nas建立l2tp会话,并协商建立l2tp隧道,然后isp将他发送的ppp数据通道化处理,通过l2tp隧道传送到公司nas,nas就从中取出ppp数据进行相应的处理,如此该员工就如同在公司本地那样通过nas接入公司内网。
从上述应用场景可以看出l2tp隧道是在isp和nas之间建立的,此时isp就是l2tp访问集中器(lac),nas也就是l2tp网络服务器(lns)。
lac支持客户端的l2tp,用于发起呼叫,接收呼叫和建立隧道,lns则是所有隧道的终点。
在传统的ppp连接中,用户拨号连接的终点是lac,l2tp使得ppp协议的终点延伸到lns。
l2tp本质上是一种隧道传输协议,它使用两种类型的消息:
控制消息和数据隧道消息。
控制消息负责创建、维护及终止l2tp隧道,而数据隧道消息则负责用户数据的真正传输。
l2tp支持标准的安全特性chap和pap,可以进行用户身份认证。
在安全性考虑上,l2tp仅定义了控制消息的加密传输方式,对传输中的数据并不加密。
ipsec(ipsecurity),顾名思义,是保障ip层安全的网络技术,它并不是指某一项具体的协议,而是指用于实现ip层安全的协议套件集合。
ipsec实质上也是一种隧道传输技术,它将ip分组或ip上层载荷封装在ipsec报文内,并根据需要进行加密和完整性保护处理,以此保证数据在公共网络中传输过程的安全。
ipsec支持两种协议标准,鉴别首部(authenticaionheader,ah)和封装安全有效载荷(encapsulationsecuritypayload,esp):
ah可证明数据的起源地(数据来源认证)、保障数据的完整性以及防止相同的数据包不断重播(抗重放攻击);
esp能提供的安全服务则更多,除了上述ah所能提供的安全服务外,还能提供数据机密性,这样可以保证数据包在传输过程中不被非法识别;
ah与esp提供的数据完整性服务的差别在于,ah验证的范围还包括数据包的外部ip头。
为正确实施ipsec封装及解封装ip数据包,必须建立ipsec隧道,也就是需要定义加密或鉴别算法、算法使用的密钥、密钥保持有效的生命期以及授权可用的数据访问策略等信息,这也被称为"
安全联盟(securityassociation,sa)"
。
通常采用ike(internetkeyexchange,因特网密钥交换)协议来协商建立ipsec隧道。
ike协商实际上有两个阶段:
第一阶段协商,是在ipsec通信双方之间建立ike的安全通道,即建立ikesa,这个过程有两种模式,一种是常用的主模式(mainmode),能提供身份保护服务,但需要较多的消息交互(多达六条消息),另一种是比较迅速的积极模式(aggressivemode),但协商能力较弱,也不能提供身份保护功能;
第二阶段协商是在ikesa的保护下进行的,其目的是为特定的通信流协商ipsec安全通道,即建立ipsecsa。
由此可以看出ike的主要作用是负责建立、维护和终止ipsec安全通道,通过其他的一些消息交换过程,可以帮助维持ipsec通道的可用性和安全性,服务于ipsec数据的安全传输。
这与l2tp控制消息帮助建立和维护l2tp数据传输通道的作用有异曲同工之妙。
两者都可以提供通信双方之间的身份认证,并且都可以在提供完整性保护和机密性服务的环境下进行安全的有关参数协商和消息交互;
同时还能根据各自的特点,提供一种保活(keepalive)机制来负责协调隧道双方的状态的同步,提高隧道的容错性和稳定性,所不同的是,ike是充分利用ipsec通信流存在即对方活跃状态的证明的特点,以此减少保活报文通信量,这种方式也被称为"
dpd(deadpeerdetection,死亡对端探测)"
此外ike的协商
升级会员 